GHSA-3xq2-w6j4-c99r

Опубликовано: 16 сент. 2024

Источник: github

Github: Прошло ревью

CVSS4: 9.2

CVSS3: 8.1

Описание

Apache Seata Deserialization of Untrusted Data vulnerability

Deserialization of Untrusted Data vulnerability in Apache Seata.

When developers disable authentication on the Seata-Server and do not use the Seata client SDK dependencies, they may construct uncontrolled serialized malicious requests by directly sending bytecode based on the Seata private protocol.

This issue affects Apache Seata: 2.0.0, from 1.0.0 through 1.8.0.

Users are recommended to upgrade to version 2.1.0/1.8.1, which fixes the issue.

Ссылки

Пакеты

Наименование

org.apache.seata:seata-core

maven

Затронутые версииВерсия исправления

= 2.0.0

2.1.0

Наименование

org.apache.seata:seata-core

maven

Затронутые версииВерсия исправления

>= 1.0.0, < 1.8.1

1.8.1

EPSS

Процентиль: 99%

0.74626

Высокий

9.2 Critical

CVSS4

8.1 High

CVSS3

CVE ID

CVE-2024-22399

Дефекты

CWE-502

Связанные уязвимости

CVE-2024-22399

CVSS3: 9.8

nvd

больше 1 года назад

Deserialization of Untrusted Data vulnerability in Apache Seata. When developers disable authentication on the Seata-Server and do not use the Seata client SDK dependencies, they may construct uncontrolled serialized malicious requests by directly sending bytecode based on the Seata private protocol. This issue affects Apache Seata: 2.0.0, from 1.0.0 through 1.8.0. Users are recommended to upgrade to version 2.1.0/1.8.1, which fixes the issue.

BDU:2024-08093

CVSS3: 9.8

fstec

больше 1 года назад

Уязвимость программного обеспечения распределения и увеличения производительности транзакций в архитектуре микросервисов Apache Seata, связанная с недостатками механизма десериализации, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 99%

0.74626

Высокий

9.2 Critical

CVSS4

8.1 High

CVSS3

CVE ID

CVE-2024-22399

Дефекты

CWE-502